#ParsedReport #CompletenessMedium
22-10-2024

Earth Simnavaz (aka APT34) Levies Advanced Cyberattacks Against Middle East

https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz-cyberattacks.html

Report completeness: Medium

Actors/Campaigns:
Oilrig (motivation: cyber_espionage)
Fox_kitten

Threats:
Ngrok_tool
Supply_chain_technique
Credential_harvesting_technique
Stealhook_tool
Karkoff
Trojan.ps1.dulldrop.i624
Trojan.win64.dulload.i
Dullwshell
Dullscan_tool
Trojan.ps1.dulldrop.i

Industry:
Energy, Petroleum

Geo:
Middle east

CVEs:
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20680)
- microsoft windows 10 1607 (<10.0.14393.7070)
- microsoft windows 10 1809 (<10.0.17763.5936)
- microsoft windows 10 21h2 (<10.0.19044.4529)
- microsoft windows 10 22h2 (<10.0.19045.4529)
have more...

ChatGPT TTPs:
do not use without manual check
T1566.001, T1078, T1071.001, T1059.001, T1003.001, T1105, T1021.001

IOCs:
Path: 4
File: 2
Registry: 1
Hash: 17

Soft:
Microsoft Exchange, Windows Kernel, Local Security Authority, active directory, PSEXEC

Algorithms:
aes, exhibit, base64

Functions:
GetUserPassFromData, GetSendData

Languages:
powershell

Links:
have more...
https://github.com/aaaddress1/RunPE-In-Memory
https://github.com/tykawaii98/CVE-2024-30088

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 2, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что группа кибершпионажа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке, используя передовые тактики и инструменты для осуществления вредоносной деятельности. Эта группа представляет постоянную угрозу для организаций и подчеркивает важность понимания тактики, используемой киберпреступниками, спонсируемыми государством, и противодействия ей. Защита от таких угроз включает в себя использование аналитических отчетов об угрозах, внедрение архитектуры нулевого доверия и усиление мер безопасности, таких как SOC, EDR и MDR-возможности.
-----

Краткое содержание:.

Расследование Trend Micro показало, что кибершпионажная группа Earth Simnavaz, также известная как APT34 и OilRig, активно нацелена на организации в энергетическом секторе, особенно на Ближнем Востоке. Они используют передовые методы, такие как использование бэкдоров на серверах Microsoft Exchange для кражи учетных данных и использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Earth Simnavaz использует комбинацию настраиваемых инструментов .NET, скриптов PowerShell и вредоносных программ на базе IIS, которые адаптируются к обычному сетевому трафику, что затрудняет их обнаружение. Их недавняя деятельность сосредоточена на использовании уязвимостей в ключевой инфраструктуре в уязвимых регионах с целью обеспечения постоянного доступа для дальнейших атак на дополнительные цели.

Вредоносная деятельность Earth Simnavaz включает в себя внедрение сложных бэкдоров для утечки учетных данных через серверы Microsoft Exchange, использование таких инструментов, как ngrok, для удаленного мониторинга и управления, а также использование уязвимостей, таких как CVE-2024-30088, для повышения привилегий. Такая тактика подчеркивает эволюционный характер методологий группы и постоянную угрозу, которую они представляют для организаций, особенно тех, которые используют уязвимые платформы, такие как Microsoft Exchange. Группа постоянно адаптируется, добавляя новые уязвимости в свой инструментарий для повышения скрытности и эффективности своих атак.

Было замечено, что Earth Simnavaz проводит атаки на цепочки поставок через скомпрометированные организации и, возможно, использует украденные учетные записи для фишинговых кампаний против дополнительных целей. Кроме того, существует документально подтвержденная взаимосвязь между Earth Simnavaz и FOX Kitten APT group, что еще раз подчеркивает серьезный характер этих угроз, нацеленных на организации в таких важных секторах, как национальная безопасность и экономическая стабильность. Использование группой таких инструментов, как ngrok, для поддержания устойчивости и контроля над уязвимыми средами подчеркивает важность понимания тактики, используемой спонсируемыми государством кибератаками, и противодействия ей.

Для защиты от развивающихся угроз, таких как Earth Simnavaz, организации могут использовать отчеты об угрозах и аналитические материалы для активной защиты своей среды, снижения рисков и эффективного реагирования на потенциальные атаки. Внедрение архитектуры с нулевым уровнем доверия и усиление мер безопасности, таких как Центр управления безопасностью (SOC), возможности обнаружения конечных точек и реагирования на них (EDR), а также возможности управляемого обнаружения и реагирования (MDR), могут повысить эффективность защиты от таких сложных злоумышленников, как Earth Simnavaz, которые продолжают представлять значительный риск для секторов на Ближнем Востоке.

#ParsedReport #CompletenessMedium
22-10-2024

Using gRPC and HTTP/2 for Cryptominer Deployment: An Unconventional Approach

https://www.trendmicro.com/en_us/research/24/j/using-grpc-http-2-for-cryptominer-deployment.html

Report completeness: Medium

Threats:
Srbminer

Victims:
Docker

Industry:
Healthcare

TTPs:
Tactics: 5
Technics: 7

IOCs:
File: 1
Hash: 1
Url: 1
IP: 2

Soft:
Docker, debian

Crypto:
ripple

Algorithms:
zip

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в использовании удаленных API-серверов Docker злоумышленниками, использующими gRPC/h2c для развертывания криптомайнера SRBMiner для майнинга криптовалюты XRP на хостах Docker. В нем подчеркиваются риски безопасности, связанные с неправильно сконфигурированными и незащищенными удаленными API-серверами Docker, неправильным использованием методов gRPC в Docker для вредоносных действий и важностью защиты контейнерных платформ, таких как Docker, для предотвращения подобных атак. Trend Micro подчеркивает необходимость раннего обнаружения угроз, автоматизированного сканирования, машинного обучения и анализа угроз для защиты от развивающихся киберугроз.
-----

В записи блога рассказывается о том, как злоумышленники используют удаленные API-серверы Docker, используя gRPC/h2c для развертывания криптомайнера SRBMiner для майнинга криптовалюты XRP на хостах Docker. Исследователи Trend Micro наблюдали недавнюю атаку, в ходе которой злоумышленник нацелился на удаленные API-серверы Docker для выполнения операций криптомайнинга с использованием протокола gRPC через h2c, что позволило им эффективно обходить решения по обеспечению безопасности. Злоумышленник сначала проверил доступность и версию Docker API, затем запросил обновления gRPC/h2c и методы gRPC для управления функциональными возможностями Docker. Впоследствии злоумышленник загрузил и развернул криптомайнер SRBMiner с GitHub, инициировав процесс майнинга на свой криптовалютный кошелек и публичный IP-адрес.

Docker - это платформа, которая упрощает процессы разработки приложений, предлагая функцию удаленного API для удаленного управления контейнерами, образами и томами. Однако, если эти удаленные серверы API неправильно настроены и подключены к Интернету, они могут представлять угрозу безопасности, что делает их уязвимыми для использования злоумышленниками. Наблюдаемая атака является примером неправильного использования протокола gRPC через h2c для развертывания криптомайнера SRBMiner на хостах Docker для незаконного майнинга XRP, криптовалюты, разработанной Ripple Labs.

Злоумышленник в этой атаке использует методы gRPC в Docker для выполнения таких важных операций, как проверка работоспособности, синхронизация файлов, аутентификация, управление секретами и переадресация по SSH. Эти методы позволяют клиентам эффективно управлять средами Docker, но, попав не в те руки, они могут быть использованы для совершения вредоносных действий. Злоумышленник загружает SRBMiner с GitHub, размещает его в определенных каталогах и инициирует процесс майнинга, предоставляя адрес своего криптовалютного кошелька и публичный IP-адрес, скрывая свою деятельность за операцией майнинга криптовалюты.

Этот инцидент подчеркивает важность тщательного обеспечения безопасности контейнерных платформ, таких как Docker. Хотя эти платформы обладают значительными преимуществами при разработке приложений, они также могут создавать уязвимости в системе безопасности, если не защищены должным образом. Киберпреступники могут использовать такие функции, как API удаленного управления, для развертывания криптоминеров и незаконного майнинга криптовалют, как показано в этой атаке с использованием gRPC через h2c.

Trend Micro подчеркивает необходимость раннего обнаружения угроз с помощью автоматизированного сканирования образа контейнера и реестра, что позволяет пользователям оперативно выявлять и устранять потенциальные угрозы. Кроме того, такие методы, как машинное обучение и виртуальное внесение исправлений, могут помочь защитить рабочие нагрузки как от известных, так и от неизвестных угроз. Клиенты Trend Micro могут получать доступ к аналитическим отчетам и информации об угрозах в Trend Micro Vision One, что позволяет им активно защищать свои среды, понимать возникающие угрозы и эффективно реагировать на вредоносные действия. Используя аналитические данные об угрозах, организации могут опережать возникающие киберугрозы и укреплять свою систему безопасности.

#ParsedReport #CompletenessMedium
21-10-2024

Akira ransomware continues to evolve

https://blog.talosintelligence.com/akira-ransomware-continues-to-evolve

Report completeness: Medium

Threats:
Akira_ransomware
Credential_harvesting_technique
Shadow_copies_delete_technique
Megazord
Credential_dumping_technique

Victims:
Latin american airline

Industry:
Aerospace, Critical_infrastructure

Geo:
Latin american

CVEs:
CVE-2023-20263 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco hyperflex hx data platform (5.0, 5.5)

CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient enterprise management server (le7.0.10, le7.2.2)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (11.0.1.1261, 12.0.0.1420)

CVE-2020-3259 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco firepower threat defense (<6.2.3.16, <6.3.0.6, <6.4.0.9, <6.5.0.5)
- cisco adaptive security appliance software (<9.8.4.20, <9.9.2.67, <9.10.1.40, <9.12.3.9, <9.13.1.10)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)

CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (<12.2.0.334)

CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (6.2.3, 6.2.3.1, 6.2.3.2, 6.2.3.3, 6.2.3.4)

CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud foundation (le5.2)
- vmware esxi (7.0, 8.0)


ChatGPT TTPs:
do not use without manual check
T1486, T1078, T1190, T1203, T1059.001, T1566, T1027, T1548

IOCs:
File: 4
Hash: 37

Soft:
Linux, ESXi, SonicOS, AnyConnect, Active Directory, Linux ESXi, Windows Defender Credential Guard, Local Security Authority

Algorithms:
chacha20

Languages:
rust, powershell, swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
Группа программ-вымогателей Akira развивает и совершенствует свою тактику, переключая внимание с шифрования на утечку данных, разрабатывая новые версии своего шифровальщика-вымогателя и изучая различные методы программирования, чтобы максимально эффективно использовать их в своих попытках вымогательства. Также было замечено, что они нацелены на уязвимости в сетевых устройствах и программном обеспечении, и ожидается, что они продолжат использовать наиболее уязвимые места, усиливая свою модель двойного вымогательства. В будущих кампаниях группа, вероятно, нацелится на среды ESXi и Linux от VMware, поскольку они широко распространены в корпоративной инфраструктуре.
-----

Группа программ-вымогателей Akira развивает и совершенствует свою тактику, чтобы сохранить свои позиции в качестве заметной угрозы в сфере кибербезопасности. Данные Cisco Talos указывают на то, что Akira активно разрабатывает новые версии своего шифровальщика-вымогателя, переключая внимание с шифрования на фильтрацию данных. Считается, что это изменение тактики является результатом переоснащения разработчиками своего шифровальщика для расширения его возможностей.

Было замечено, что операторы Ransomware-as-a-Service (RaaS) компании Akira разрабатывают Rust-вариант своего ESXi-шифровальщика, отходя от традиционного использования C++ и изучая различные методы программирования. Используя надежные методы шифрования и уделяя особое внимание краже данных, Akira стремится максимально эффективно использовать свои возможности в борьбе с вымогательством. Переход группы к ранее эффективной стратегии после языковой модификации версии 2 означает, что компания уделяет особое внимание стабильности и эффективности своей партнерской деятельности.

Филиалы Akira активно используют уязвимости для первоначального доступа, используют CVE для взлома сети, повышения привилегий и перемещения в уязвимых средах. Группа занимается устранением различных уязвимостей в сетевых устройствах и программном обеспечении, включая эксплойты в сервисах Cisco и FortiClientEMS.

В последние месяцы было замечено, что Akira переключается с одного варианта шифрования на другой, возможно, возвращаясь к использованию шифровальщиков для Windows и Linux, написанных на C++. Этот переход предполагает стратегический выбор в пользу приоритета стабильности и надежности над инновациями. Использование образцов программ-вымогателей с расширением ".akira" и уведомлениями о требовании выкупа "akira_readme.txt" соответствует прежней тактике группы, что указывает на намеренное возвращение к ранее эффективным методам.

Заглядывая в будущее, ожидается, что Akira продолжит использовать наиболее уязвимые места, одновременно усиливая свою модель двойного вымогательства, чтобы увеличить возможности получения выкупа. Исследование языка программирования Rust для Linux-шифровальщиков демонстрирует готовность группы экспериментировать с системами кодирования для разработки устойчивых вариантов программ-вымогателей. Сохраняя адаптивность и ориентируясь на эффективность, Akira, скорее всего, в будущих кампаниях будет использовать среды ESXi и Linux от VMware, поскольку они широко используются в корпоративной инфраструктуре и хранилищах критически важных данных.

#ParsedReport #CompletenessMedium
22-10-2024

Triad Nexus: Silent Push exposes FUNNULL CDN's ongoing corruption efforts, hosting DGA bulk domains for suspect Chinese gambling sites, investment scams, a retail phishing campaign, and a supply chain attack impacting 110,000+ sites

https://www.silentpush.com/blog/triad-nexus-funnull

Report completeness: Medium

Actors/Campaigns:
Lazarus
Pig_butchering

Threats:
Supply_chain_technique
Bonanza

Industry:
Entertainment, Telco, Government, Retail, Financial, E-commerce, Foodtech

Geo:
Asia, Portuguese, Australian, Macau, Kors, North korean, Chinese, Asian, China, Hong kong

ChatGPT TTPs:
do not use without manual check
T1213, T1557, T1583, T1204, T1189

IOCs:
Domain: 75
File: 2
IP: 1
Email: 1

Soft:
FUNNULL, Polyfill, Telegram, Gmail

Wallets:
coinbase

Crypto:
tether

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, table: 2, schema: 3, chart: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Silent Push, компания по разведке киберугроз, более двух лет отслеживала китайскую сеть доставки контента (CDN) FUNNULL и выявила широкий спектр преступных действий, размещенных на FUNNULL, что позволило им назвать этот кластер "Триадой Нексус". Ключевые выводы их исследования включают причастность к инвестиционным аферам, поддельным торговым приложениям, подозрительным сетям азартных игр, розничному фишингу, атакам на цепочки поставок, связям с преступными группировками, такими как преступная группа Lazarus, и фишинговым кампаниям, нацеленным на крупные бренды. Исследование освещает вредоносную деятельность, осуществляемую компанией FUNNULL, и ее связи с преступными организациями, занимающимися финансовым мошенничеством, отмыванием денег и незаконными азартными играми, подчеркивая важность понимания таких кластеров специалистами в области кибербезопасности для повышения эффективности усилий по обнаружению угроз и смягчению их последствий.
-----

Silent Push уже более двух лет отслеживает китайскую сеть доставки контента (CDN) FUNNULL, выявляя широкий спектр преступной деятельности, включая инвестиционные аферы, поддельные торговые приложения, подозрительные сети азартных игр и розничный фишинг.

Преступные операции, связанные с FUNNULL, были названы "Связующим звеном триады"..

Более 200 000 уникальных имен хостов проксируются через FUNNULL с высоким коэффициентом использования алгоритма генерации доменов (DGA).

FUNNULL был вовлечен в атаку на цепочку поставок с использованием JavaScript-библиотеки Polyfill, которая затронула более 110 000 ведущих веб-сайтов.

Suncity Group, связанная с преступной группировкой Lazarus, связана с подозрительными сайтами азартных игр, размещенными на FUNNULL.

Suncity Group имеет связи с Tether, популярной криптовалютой на подозрительных сайтах азартных игр в Восточной и Юго-Восточной Азии.

FUNNULL был причастен к атаке на цепочку поставок после приобретения polyfill.ввод-вывод средств и перенаправление мобильных пользователей на сайты онлайн-гемблинга.

Розничная фишинговая афера, размещенная на сайте FUNNULL, нацелена на крупные бренды в индустрии моды.

FUNNULL ассоциируется с поддельными торговыми приложениями, инвестиционными аферами и алгоритмически сгенерированными доменами для низкокачественных сайтов азартных игр на мандаринском диалекте китайского языка.

Suncity Group, известная отмыванием денег и незаконными азартными играми, имеет связи с операциями в сфере онлайн-гемблинга, способствующими выводу капитала из материкового Китая.

Фишинговая кампания, нацеленная на ведущие розничные бренды, размещенная на FUNNULL, использует фишинговые страницы входа в систему и внедряет вредоносное ПО на мобильные устройства.

Понимание инфраструктуры и деятельности таких кластеров, как Triad Nexus, имеет решающее значение для повышения эффективности усилий по обнаружению угроз и смягчению их последствий в области кибербезопасности.

#ParsedReport #CompletenessHigh
22-10-2024

Steam Under Fire: Malware and Dead Drop Resolver Technique

https://rt-solar.ru/solar-4rays/blog/4795

Report completeness: High

Threats:
Dead_drop_technique
Vidar_stealer
Lumma_stealer
Meta_stealer
Acr_stealer
Stealc
Heavens_gate_technique
Redline_stealer
Anydesk_tool

Victims:
Steam, Telegram

Industry:
Entertainment

Geo:
Russia

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1027, T1090, T1573.001, T1081, T1140, T1566.001

IOCs:
File: 19
Hash: 8
Url: 35
Domain: 33

Soft:
Steam, Telegram, Twitter, Chromium, Firefox, Chrome, Opera, Discord, Pidgin, WhatsApp, have more...

Algorithms:
base64, md5, xor, sha1, rc4, sha256

Win API:
RmEndSession

Platforms:
x64, x86, arm

Links:
https://gist.github.com/qbourgue/85f4949beb07179e9e1ef29d889e69ff
https://github.com/mandiant/flare-floss

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей тенденции кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием технологии, называемой Dead Drop Resolver (DDR). Различные семейства вредоносных программ, включая Vidar, Lumma, ACR и MetaStealer, адаптировались к использованию этих платформ для целей C2, что позволяет им публиковать зашифрованную информацию C2 и незаметно обновлять адреса серверов, собирая конфиденциальные данные из зараженных систем. Эта тенденция свидетельствует о том, что злоумышленники все чаще используют популярные платформы для совершения вредоносных действий, что подчеркивает растущую сложность киберугроз.
-----

В тексте обсуждается растущая тенденция кибератакеров, использующих легальные платформы, такие как Steam и Telegram, для распространения вредоносного ПО и создания инфраструктуры командования и контроля (C2) с использованием метода, называемого Dead Drop Resolver (DDR). Упомянутое вредоносное ПО включает в себя популярные stealers, такие как Vidar, Lumma, ACR и MetaStealer, которые адаптированы к использованию Steam и Telegram для целей C2.

Злоумышленники используют эти платформы для публикации зашифрованной или кодированной информации C2, которую вредоносная программа извлекает после заражения. Этот метод позволяет повысить устойчивость инфраструктуры C2, поскольку злоумышленники могут в любое время обновить адрес сервера C2, оставаясь при этом незаметными для мер безопасности. В тексте подробно описывается одно известное семейство, Vidar, использующее профили Steam и каналы Telegram для извлечения адресов C2. Vidar способен собирать различные данные, включая системную информацию, данные веб-браузера, криптовалютные кошельки и многое другое.

Другим обсуждаемым семейством вредоносных программ является Lumma, которое упоминалось на русскоязычных форумах примерно в 2022 году. В примере Lumma, приведенном в тексте, используются методы обфускации, что затрудняет статический анализ. Он также включает в себя такие возможности, как кража данных из браузеров, криптовалютных кошельков и внедрение бинарного морфера с потоком управления.

MetaStealer представлен как еще одно семейство, использующее DDR, и в тексте подчеркивается его сходство с RedLine stealer. MetaStealer использует раздел комментариев Steam, чтобы легко скрывать активность и стирать следы. Метод использования законных платформ для распространения вредоносного ПО продолжает развиваться, и в 2024 году MetaStealer внедрила Steam в качестве новой платформы распространения.

В тексте содержится информация о методах, используемых этими семействами вредоносных программ, таких как расшифровка адресов C2, внедрение полезных данных в процессы и поиск данных с конечных точек жертвы. Появление этих примеров с использованием DDR с поддержкой Steam или Telegram свидетельствует о том, что злоумышленники предпочитают этот метод. Отмечается, что разработчики такого вредоносного ПО признают стабильность и успешность использования этих платформ в вредоносных целях.

#ParsedReport #CompletenessLow
22-10-2024

Get in touch

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/fake-attachment-roundcube-mail-server-attacks-exploit-cve-2024-37383-vulnerability

Report completeness: Low

Actors/Campaigns:
Winter_vivern

Victims:
Government organizations

Industry:
Government

CVEs:
CVE-2024-37383 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 1

Soft:
Roundcube

Algorithms:
base64

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4